美国儿童的网络个人信息保护研究

美国儿童的网络个人信息保护研究
作者：吴晓平朱佳欣
来源：《新闻传播》2020年第16期
[摘要]随着计算机技术与信息技术的迅猛发展，各国互联网的普及率逐年增高，互联网使用人群“低龄化”趋势逐年加强，越来越多心智发展尚未成熟的儿童加入了网民群体。

在大数据技术不断强化的社会背景下，一些企业出于营利的目的收集、使用、转卖儿童网民的网络个人信息，使得这些心智发展尚未成熟的儿童的个人信息存在被泄露的危险，儿童的网络安全问题一触即发。

本文从美国现行的《儿童在线隐私保护法案》出发，介绍美国特有的立法规制和行业自律保护相结合的儿童网络个人信息保护模式，由此总结三种力量规制下的美国儿童网络个人信息保护的优势与不足。

[关键词]儿童;网络;隐私;个人信息;COPPA
互联网的一个显著性特征是：为了维持自身完整的架构，互联网必须不断被动地收集用户的信息。

置身互联网中，用户的个人信息、网购记录、喜好、浏览过的页面信息都会以数据缓存（Cookies）形式留下痕迹。

截至2016年12月，我国网民数量达到7.31亿，主要以10-39岁群体为主，其中10-19岁群体占整体网民的20.2%，青少年网民数量约合1.48亿。

在互联网的高速发展的背景下，我国的网民数量呈爆炸式增长，近几年来，青少年群体开始接触互联网的年龄也不偏小，互联网使用人群“低龄化”趋势不断加强，越来越多心智发展尚未成熟的儿童被暴露在网络环境下，和成年网民一样，他们的个人信息也会被记录与收集，儿童的个人信息因此存在安全隐患。

目前，我国尚未设立法案专门保护儿童的网络个人信息，相关的法律条款大多散落在《中华人民共和国宪法》《中华人民共和国民法典》《未成年人保护法》中，这些法条的规定是广泛而笼统的，对“个人信息”的具体内容也没有明确的规定。

2016年9月30日，国家网信办颁布了《未成年人网络保护条例（草案征求意见稿）》，其中明确规定未成年人个人信息的具体内容，对于在网络，上收集、使用未成年人个人信息的行为提出了明确的规定和要求。

虽然未明确定义何为“个人信息”，但是意见稿中大量关于网络收集、使用未成年人个人信息的规定以及惩处方法，顯示出当前中国对未成年人网络个人信息保护的重视。

美国从上个世纪开始，通过国家设立《儿童在线隐私保护法》、监督行业自律，结合非政府组织的力量，保护儿童的网络个人信息安全，在实际操作的过程中，积累了丰富的经验。

本文主要研究美国保护儿童的网络个人信息安全的情况，包括政府层面、行业自律层面、非政府组织层面的三种保护力量，将美国的保护模式投射到中国的社会环境，借鉴其成熟的经验和发展中的教训，为中国保护儿童网络环境安全提供指导。

一、隐私、隐私权、个人信息
在讨论儿童网络个人信息保护的问题时，离不开对隐私、个人信息的概念阐述，由隐私、个人信息引申出的隐私权和个人信息权的概念，在本文的讨论中也需明确区分。

（一）隐私与隐私权益
隐私的概念最早出现在哲学讨论中，亚里士多德对生活的两个方面进行区分：与政治生活相关的城邦公共领域，和与家庭生活有关的私人领域。

直到19世纪90年代，美国的学者开始系统研究和讨论隐私。

1890年，美国法学家路易斯.布兰代斯（SamuelD.Warren）和塞缪尔.沃伦（LouisD.Brandies）在《哈佛法学评论》上发表了一篇名为《隐私权》的文章，开创性地提出了“隐私权（TheRighttoPrivacy）”的概念，并对个人隐私权的现代概念做出定义。

布兰代斯和沃伦认为，隐私权是“不受别人干涉的，一种独处的权利"。

美国对隐私规定了四项侵权行为：1.入侵隐居或独处地，或干涉私人事务;2.公开披露令人难堪的私事;3.为他人塑造、宣传不实的公众形象;4.窃用专有的名称或肖像。

美国承认了公民多种形式的隐私权。

以1974年的《隐私法案》（PrivacyActof1974）为例，它强调保护公民的隐私权和自由权，规定政府管理“收集、使用、维护和传播”保存在联邦机构记录系统中的可识别个人身份的信息，禁止未经隐私主体个人书面同意的情况下披露记录系统中的信息。

在民法典颁布之前，我国尚未明确隐私的定义，学者从法学角度出发，作了较多阐释。

王利明认为：“隐私是个人不愿为他人所知晓和干预的私人生活，它包括个人信息的保密、个人生活不受干扰、个人私事决定的自由三方面”;张新宝提出：“隐私又称私人生活秘密或私生活秘密，是指私人生活安宁不受他人非法干扰，私人信息保密不受他人非法搜集、刺探和公开等，它分为私人生活安宁、私人信息秘密两类”。

即将于2021年1月1日施行的《民法典》人格权编第六章规定了隐私权和个人信息保护，其中，第一千零三十二条规定，“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。

在互联网络技术高度发达的今天，隐私权经常与信息技术交织在一起的。

网络上侵犯个人隐私权的行为逐渐增多，随之延伸出了网络隐私权的概念。

2012年12月28日，全国人大常委会通过《关于加强网络信息保护的决定》，拓展了隐私权的适用空间，重点保护网络上的个人信息。

侵犯网络隐私权的类型可以分为个人的侵权，网站经营者的侵权，商业公司的侵权，软硬件设备供应商的侵权，黑客的攻击。

本文主要讨论网络经营者出于商业盈利的目的侵犯网民个人信息安全的情况。

（二）个人信息与个人信息权益
关于个人信息保护的研究最初是与电子化政府的活动联系的。

政府建立“信息公开制度”的同时，必然会进行个人信息的收集、存储、加工、使用和交换行为，在这个过程中，公民的个
人信息存在被泄露的危险。

随着社会信息化程度的不断提高，保护个人信息安全也引起了普遍的重视。

目前，50多个国家和地区已制定保护“个人信息"的法律，日本《个人信息保护法》中对个人信息作出以下界定：“根据信息包含的姓名、出生年月或其他描述，能识别个体的实际身份，与他人区分开。

”《民法典》第一千零三十四条规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

个人信息权是公民享有的保护个人信息不受他人侵犯的权利，它拓展了隐私权的内涵和外延，但是不等同于隐私权。

王利明认为：“个人信息资料权是独立于隐私权的一种权利。

”个人信息权的权利主体，享有信息的决定权、查阅权、复制权、更正权、删除权、报酬请求权、损害赔偿请求权等。

我国尚未设立专门的个人信息保护法，但是随着信息技术的发展和国内研究的深入，保护个人信息安全的意识不断进入公众的视野。

2不同国家使用的称谓不同，美国使用个人隐私，亚洲国家使用个人信息，虽然两者的具体内容和表现方式各有不同，但是核心内容是相通的。

个人信息和隐私的范围不同，个人信息并不都涉及个人隐私，例如公开信息和非敏感信息，而法律对个人信息的保护，是对满足一定条件的个人信息的全面保护，并不仅限于保护个人的私密信息;个人信，息保护和隐私保护的立法目的不同，隐私的保护禁止泄露公民不愿为他人发现的内容，而个人信息保护主要就信息的收集、利用、传播等问题进行规范，个人信息权不能等同于全部的隐私权内容。

本文遵循亚洲国家的研究传统，采用个人信息的概念，研究主体是网络环境中可以识别个人身份的信息。

二、儿童的网络个人信息的保护的美国模式
（一）来自法律层面的保护
早在1998年，美国已经颁布《儿童在线隐私保护法》
（Children’sOnlinePrivacyProtectionAct，下文简称COPPA），它是美国政府第一次尝试直接立法干预网络环境，也是美国第一部完整的、专门保护儿童网络信息安全的法案。

1.《儿童在线隐私保护法》
在1998年《儿童在线隐私保护法》颁布之前，美国已经渐渐开始关注学生的隐私。

1974年，国会通过了《家庭教育权利和隐私法》（FamilyEducationRightsandPrivacyAct，简称FERPA），主要处理访问学生教育信息和记录的情形，立法的对象是美国教育机构和受美国教育部管理、资助的机构。

FERPA禁止教育机构公开可能泄露学生，身份信息的教育记录，访问、修改、披露教育记录需要向父母发出通知征求同意。

FERPA最初提出了收集子女信息首先要获取父母同意（ParentalConsent）规定，这项规定日后被广泛应用在美国儿童信息和隐私
的立法。

1996年美国媒体教育中心（theCenterforMediaEdu-cation，简称CME）发表了题为《网站欺诈（WebofDe-ception）》的报告，开始研究针对儿童的网络营销和信息保护问题，并正式提出了“儿童网络隐私”的问题。

报告指出，一些网站使用免费礼物诱导儿童填写调查报告或者注册信息表，其中年龄最低的儿童仅8岁。

面对这些“量身定制”的网络广告，小龄群体容易被诱惑和欺骗。

1998年3月，美国联邦贸易委员会通过调查1400个热门网站，提出了自己的报告：《在线隐私：给国会的报告》：（PrivaeyOnline：AReporttoCongress）。

報告指出，大部分网站收集儿童信息时明显未经过父母的同意和监督。

其中，89%的被调查网站会收集个人信息，包括可识别儿童身份和位置的信息;只有24%的网站制定了隐私政策，联邦贸易委员会的调查数据引发了美国民众的担忧，尤其在父母忽视子女网络活动的情况下，这种信息收集行为会绕过家长的监督，导致儿童的个人信息处于被泄露的危险中。

为回应联邦贸易委员会的调查，美国国会在1998年10月21日通过了《儿童在线隐私保护法》，法案在2000年4月21日生效。

法案将儿童定义为“年龄在13岁以下的个体”。

COPPA的立法对象：商业网站。

（1）以13岁以下的儿童为目标受众的;（2）有一部分内容是针对儿童的;（3）知道儿童可能会浏览该网站，或可能在该网站上填写个人信息的一般大众网站。

（第2节）
cCOPPA的执法机构：：cOPPA的主要执法机构是美国联邦贸易委员会（FTC），同时受联邦通信委员会（FCC）、美国媒体教育中心（CME）、美国消费者金融保护局（CFPB）、美国健康与人类服务部（DHHS）等机构的监督。

（第2节）
COPPA的立法范围：禁止商业网站运营商未经父母同意收集、存储、使用、披露、转卖未满十三岁儿童的个人信息，规定了网站运营商的职责与义务，明确了父母和儿童在网络环境中的权利。

（第2节）
COPPA的立法原则：COPPA确立了有限收集原则（第2节）、收集信息的公开原则（第2节）、父母“可证实的同意”原则（第5节）、安全港原则（第11节）。

（1）有限收集原则。

禁止网站泄露已收集的儿童的个人信息，禁止网站用奖金或奖品诱导儿童填写个人信息，禁止网站收集超出自身合理需要的信息。

（2）公开原则。

要求任何收集儿童个人信息的网站运营商，或在线服务提供商在网站主页明确、显眼的位置张贴公告，告知家长其收集的信息内容、使用渠道、是否会披露以及如何披露信息，如果其收集的信息有变更，也要及时通知家长。

（3）父母“可证实的同意（verifiableparentalconsent）”原则。

要求网站在收集13岁以下儿童的个人信息时，必须先征求家长的同意（如电子签名）。

借此获得的家长的联系方式不能作为其他用途，且网站不能二次联系家长。

父母有权利禁止网站进一步使用或保存孩子的个人信息，或要求网站删除、更改已经收集的个人信息。

（4）安全港原则。

COPPA提出了安全港计划（SafeHarborProgram），它规定了网站获取父母同意和告知父母的义务。

目前该制度仅适用于儿童网络信息的保护，不适用于一般用户。

安全港计划将行业自律与立法规制相结合，旨在最大化地实现保护儿童网络信息安全的目的，网站可根据自身需要及网站特性制定保护儿童信息安全的隐私政策，该政策经联邦贸易委员会批准后即可生效，网站在运营过程中只需遵守各自的隐私政策，而不用普遍迎合COPPA。

从中可以看出，《儿童在线隐私保护法》的立法目的非常清晰，立法特色十分鲜明。

立法目的：（1）为保护在网络环境中的儿童隐私权，要提高家长在儿童在线活动中的参与度;（2）帮助保护孩子们的在线安全，如聊天室，主顶，和笔友服务，在这些在线活动中，儿童会公开识别个人信息的帖子;（3）保持在线收集儿童个人信息的安全性;（4）在未征得家长同意的情况下，限制收集儿童的个人信息。

立法特色：（1）民事处罚：cOPPA是行政法规，不具有强制执行力。

违反COPPA的相关规定的商业组织将受到民事处罚，每次违规行为最高可能导致1.1万美元人的罚款。

（2）形成了行政立法与行业自律相结合的模式：在针对儿童网络隐私保护的问题上，美国政府采取行业自律为主，行政立法为辅的保护模式，充分发挥商业组织的主观能动性，不断发展创新，形成新的保护技术和方法。

（3）父母的绝对性权利：用法律的形式明确父母维护儿童网络个，人信息安全的职责与权利。

2.《儿童在线隐私保护法》（修正案）
2012年《儿童在线隐私保护法》通过了自设立以来的第一次修正案，新的法案于2013年7月1日生效。

它主要阐明了旧法中含糊不清的内容，如“个人信息”“运营商”“第三方”等，加强了网站获取父母“可证实的同意”“通知”的内容和隐私声明的要求。

明确和扩大了“个人信息”的类型。

个人信息现在包括用户名、含有儿童形象或声音的照片、录像和音频文件、可识别用户的持久性标识符，如IP地址、地理定位信息、浏览网页产生的数据缓存（cookies）。

广告商不得在未经家长同意的情况下收集有关儿童互联网和计算机设备使用的信息。

ios和android系统下的GPS定位功能时刻会更新儿童的位置信息，在修正案的规定下，运营商不能再借此获取有关儿童家庭地址的信息。

将COPPA的安全要求拓展到接受运营商信息的“第三方”。

新定义填补了企业允许第三方收集信息的漏洞。

新法案颁布之后，主要对第三方服务提供商，如插件（plugins）供应商和广告商受到了影响，当他们有从针对儿童网站或服务收集儿童个人信息的实际知识（actualknowledge）行为时，就有责任遵守COPPA。

明确了对广告商的要求。

如果广告商提供的广告片段针对13岁以下的儿童，这些有针对性的服务需要对儿童负责。

未来运营商只能将儿童的个人信息用于必要、合理的地方，一旦收
集了数据，他们必须采取合理措施，防止未授权方访问数据，仅把信息公开给服务提供商和能维持信息安全性、保密性和完整性的第三方。

违反COPPA的最高罚款由1.1万美元人涨到了1.6万美元人。

明确网站向家长发出“通知”的内容。

①网站运营商可以收集父母的在线联系信息（或者其他任何适用的信息），以便联系父母获得同意;②必须征得父母同意，才能收集、使用或披露此类信息;③网站运营商额外从儿童那里收集来的个人信息若有潜在的被泄露的可能，需要提前征求父母的同意;④通知的内容下面要附上网站隐私政策的链接;⑤父母可以通过何种方式给予可证实的同意;⑥如果家长在合理时间内未给出同意，网站运营商会删除其收集到的所有资料。

补充了运营商获得家长同意的方式。

①电子扫描签署的同意表格和视频会议;②收集政府签发的身份验证和核对资料，对照数据库提供的信息（核查之后删除这些资料）;③用信用卡、借记卡或其他在线支付系统认证主账户持有人的信息。

3.其他相关法律的保护
除此之外，美國1996年颁布的《通信行为端正法（CommunicationsDecencyAct，下文简称CDA）》。

CDA由美国联邦通信委员会（FederalCommunicationsCommission，简称FCC）管辖，主要维护儿童的网络环境，保护儿童免受色情作品的危害，禁止向未满18周岁的未成年人传播有伤风化或明显令人反感的内容。

违反CDA相关条款的人将会受到刑事制裁。

1998年颁布了《儿童在线保护法案（ChildOnlineProtectionAct，下文简称COPA）》。

COPA的立法目的是“限制未成年人在互联网上接近任何对其有害的材料”，包括图片、文字、录音、文件等其他淫秽内容。

它将未成年人的年龄定义在17周岁以下，主要的执法对象是做出不利于儿童的行为的商业组织，违反COPA最高将受到5万美元罚金和6个月监禁。

同时，美国政府设立了儿童在线保护委员会，研究减少未成年人获得有害材料的过滤、标签、评级技术，试图直接控制学校和图书馆。

2002年颁布了《儿童互联网保护法案（Children’sInternetProtectionAct，下文简称CIPA）》。

CIPA由FCC管辖，致力于解决孩子在互联网上访问淫秽或有害内容的问题，主张使用“过滤”软件技术，要求美国学校和图书馆必须制定互联网安全政策和技术保护措施，每一台接入互联网的电脑必须安装过滤软件，屏蔽“属于淫秽或儿童色情的图像，防止未成年人获取对其有害的材料。

”
这几项立法的设立均是为了保护儿童网民的网络环境，显示出美国对保护儿童的网络信息安全的重视，通过国家的强制执行力约束网络中不良信息的传播，在具体的执法方式、执法机构上有所区别。

（二）来自行业自律层面的保护
行业自律是美国企业配合COPPA立法规制形成的独特的保护模式，对企业采取相对宽松的信息保护政策。

政府引导、鼓励企业通过行业自律，规范对儿童的网络个人信息的处理。

自律模式可以弥补政府公开立法保护的不足。

1.隐私增强技术。

联邦贸易委员会主张利用技术手段提高个人信息的安全性和保密性，这也能够辅助企业的信息保护过程。

非政府组织EPIC（电子隐私信息中心）就曾提出要通过法律和技术两种方式保护儿童网络信息安全，而不是完全依赖联邦贸易委员会立法。

如隐私增强技术（privacyenhancingtechnologies）可以让互联网的匿名性和私密性更强，用户在访问网站之前，可以收到系统提示网站收集信息的情况，包括网站是否收集用户信息，收集何种信息，收集信息的详细程度等，用户可以根据自身的情况和处境，选择关闭网页或者继续浏览网页信息。

当前美国在施行的最著名的隐私增强技术，是个人隐私选择平台（PersonalPrivacyPreferencePlatform，以下简称P3P），许多隐私增强技术是以P3P为基础进行研发的，它提出了将“机器可读的方式（machinereadableway）”应用在隐私保护的实践中，这样用户在访问网站之前不用特意去阅读隐私政策，尤其对于社会阅历不足、心智发育尚未成熟的儿童用户，在他们独自浏览网站时，P3P技术可以及时在儿童访问页面之前为他们敲响警钟，防止个人信息的过多泄露，或者在访问之后可以阻止网页数据缓存（cookies）的生成。

另外，儿童可以在父母的指导下，提前用P3P技术设置信息收集的标准，P3P技术会根据这个标准实时检测被访问的网站是否符合要求。

2.安全港计划。

美国学者安杰拉[J].坎贝尔（Angela[J].Campbell）曾提出“自我调节”（self-regulation）的概念，要求企业制定隐私政策或通知表明他们收集用户信息的用途。

隐私政策的内容包括描述网站收集到的基本信息类型，理想的使用和保护信息的方式。

“自我调节”可以让网站制定自己的行为准则，根据准则实行下一步的程序与具体实践。

一旦公司公开做出声明，联邦贸易委员会就会监督该公司，确保公司在跟进其既定的行为准则。

安全港计划就是在自我调节的概念下衍生出来的具体保护计划。

联邦贸易委员会允许网站根据自身需要及网站特性制定保护儿童信息安全的隐私政策，该政策经联邦贸易委员会批准后即可生效，网站在运营过程中只需遵守各自的隐私政策，而不用普遍迎合COPPA的规定。

安全港计划明确规定网站的隐私政策必须包含获取父母同意和告知父母的条款。

目前该制度仅適用于儿童网络信息的保护，不适用于一般用户。

由于缺乏制定隐私政策的基本标准，各公司自行掌握着制定政策的主动权，安全港计划在执行的过程中存在许多问题。

利用隐私政策进行“自我调节”在执行中大多依赖于一种假设，即虽然有大型网络公司愿意提供的私密性很高的隐私服务确保用户的信息安全，但并不是所有的企业都愿意把保护用户隐私权作为重中之重，COPPA的合规标准过高，购买隐私服务的成本让许多小公司承担不起。

网站不愿意做出超过要求的承诺，在硬性规定面前通常选择尽其所能地敷衍了事。

3.网络隐私认证计划。

这是私人企业组成的保护网络个人信息安全的一种自律形式。

网络隐私认证组织为网站张贴网上隐私许可标志，被许可的网站必须遵守个人信息收集的规则，同时服从多种形式的监督管理。

这使得消费者容易识别那些遵守信息收集规则的网站，也方便网络运营商显示自身遵守规则的情况。

目前美国存在多种形式的网络认证组织，最知名的之一是TRUSTe组织。

TRUSTe（电子信任组织）成立于1997年，由美国电子前线基金会和商务网络财团共同发起。

TRUSTe为5000多网站提供隐私认证服务，包括雅虎、Facebook、微软、苹果、IBM和eBay等。

该组织认证、监督、评价网站的隐私和电子邮件政策，每年会解决上万个客户的隐私问题。

TRUSTe基于云数据隐私管理平台，致力于使服务提供商安全地收集、使用用户在互联网、移动终端、云端和广告渠道的数据，增进用户和服务提供商的互信。

项目由两大部分组成：一般网络隐私项目要求（GeneralWebPrivacyProgramRequirements）和特殊认证项目要求（SpecifceSealProgramRequirements）。

一般网络隐私项目要求包括：所有经过认证许可的成员网站提供消费者控制权、安全措施、不满和投诉解决程序、隐私声明。

特殊认证项目要求包括：儿童隐私认证项目要求、欧盟安全港隐私认证项目要求和电子邮件隐私认证项目要求三项。

涉及儿童用户的网站就需要通过TRUSTe的特殊认证项目。

行业自律是对儿童的网络信息安全保护是一种补充，它弥补了政府直接立法保护的不足。

政府无法包揽所有的保护工作，统一的法律要求并不适用于所有网络环境，单纯依靠政府的力量也可能会导致权力过于集中，商业网站在保护儿童网络信息安全时可以发挥主观能动性，最后达到政府、企业、用户三方的利益共同点。

（三）来自美国民间组织的保护
除了政府和行业层面的保护，当前美国庞大的第三方力量支持儿童的网络个人信息保护工作。

许多非政府组织致力于保护儿童的基本权益，包括著名的美国公民自由联盟（ACLU），childreninternational，theChildren’sPartnership，HomeSchoolLegalDefenseAssociation，on，Goodnneigh-bors等，他们利用民间的力量帮助儿童解决如贫穷、教育、健康、隐私、安全等问题。

其中，电子隐私信息中心（ElectronicPrivacyInformationCenter，下文简称EPIC）成立于1994年，是一个独立公益组织，EPIC与世界各地的非政府组织保持联系，运行着和这两个著名的隐私网站。

EPIC致力于解决全国各地有关公民言论自由、消费者保护和人权保护的问题，特别关注信息时代新兴的隐私问题和公民自由问题，提倡让民众在社会议题中发声，切身参与未来互联网问题的决策。

早期EPIC侧重于对政府的监督和各种密码问题，后逐渐发展成一个非营利组织。

2000年11月，EPIC发现政府工作监督和消费者隐私等方面出现了越来越多的问题，如身份盗窃、电话记录泄露、医疗记录泄露以及商业数据转卖问题。

EPIC发起提议要求政府公开相关文件，提高执政的透明度，并推动美国国会设立了《信息自由法（FreedomofInformationAct，简称“FOIA”）》。

EPIC广泛开展包括政策研究、公众。